On Tue, Sep 09, 2003 at 07:19:14AM +0200, Loic.B (FDUL) wrote: > Hello. > > > sur nos syst�mes. Il se trouve que j'ai re�u des messages de refus (pour > > cause d'infection) de la part de services auxquels je n'ai manifestement > > jamais �crit. Je suppose qu'il s'agit l� d'un m�canisme d'usurpation > > d'adresses sur des machines windows mais tout de m�me j'aimerais bien en > > avoir le coeur net et en �tre tout � fait certain. > > Qu'en pensez vous ? > Il se trouve que les adresses du genre [EMAIL PROTECTED] et > [EMAIL PROTECTED] sont syst�matiquement utilis�es par des personnes > ind�licates pour spammer ou envoyer des virus.
Bonjour, Plus exactement, dans le cas de Sobig.F, il prend les adresses "au hasard" dans le carnet d'adresses de l'utilisateur de l'ordi infect�, met l'une de ces adresses en tant qu'exp�diteur, et quelques autres en tant que destinataires... Il utilise ensuite son propre moteur SMTP pour s'envoyer � ces destinataires... > Je re�ois tous les jours des mails automatis�s m'informant que j'ai envoy� > des messages infect�s. > En r�alit�, je n'ai jamais �crit � ces personnes, et mes stations (et > serveurs) sont prot�g�s contre les virus incrim�s... Ce ph�nom�ne est d� aux passerelles anti-virales "mal configur�es" (� mon avis), qui ne cherchent pas � savoir si elles ont affaire � un virus qui falsifie l'adresse de l'�metteur (99% des cas actuellement), ce qui rend _totalement_ inutile, voire n�faste, l'envoi automatique d'une alerte, ou � un virus plus ancien, pour lequel �a vaut peut-�tre encore le coup de le faire... Le probl�me principal est que beaucoup certains ISPs ont des contrats avec leurs clients, dans lesquels ils s'engagent � avertir l'�metteur d'un virus... Idem pour certaines soci�t�s ou universit�s, auxquelles les services juridiques imposent cette d�marche (il y a eu une discussion � ce propos sur la liste [EMAIL PROTECTED] la semaine derni�re). Reste maintenant � savoir ce qu'on appelle "�metteur"... Actuellement, tout le monde ou � peu pr�s fait l'autruche � ce niveau, et se contente d'un boulot salop�: on prend le 1er �metteur qui vient, celui qui est dans la ligne "From:" par exemple, et hop, on balance l'alerte, m�me si on sait tr�s bien que dans 99% des cas ce n'est pas le bon. R�sultat, �a emmerde tout le monde, mais les techniciens ont "la conscience tranquille" (ou tout au moins feignent de l'avoir) vis � vis des juristes qui leur ont impos� �a. :-( Bruno -- -- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/CIS/MIC -- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE -- Phone: +33 2 98 22 17 49 --- Email: [EMAIL PROTECTED]
